JP2006324723A - System for preventing unauthorized access to lan - Google Patents
System for preventing unauthorized access to lan Download PDFInfo
- Publication number
- JP2006324723A JP2006324723A JP2005143565A JP2005143565A JP2006324723A JP 2006324723 A JP2006324723 A JP 2006324723A JP 2005143565 A JP2005143565 A JP 2005143565A JP 2005143565 A JP2005143565 A JP 2005143565A JP 2006324723 A JP2006324723 A JP 2006324723A
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- function
- terminal accommodating
- lan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、LAN上に設置される端末収容装置と、該端末収容装置に接続される少なくとも1つの端末とを備えるLANへの不正アクセスを防止する、LANへの不正アクセス防止方式に関するものである。 The present invention relates to a method for preventing unauthorized access to a LAN, which prevents unauthorized access to a LAN comprising a terminal accommodating device installed on a LAN and at least one terminal connected to the terminal accommodating device. .
近年、会社に構築されたLAN(Local Area Network)に、持ち込んだノートパソコンを接続することによって社内情報を不正に持ち出す事件が発生しており、情報漏洩、ウィルス感染防止等のセキュリティ対策に関する技術が注目されている。
LAN上に設置した端末収容装置に少なくとも1つの端末を収容して成るLANへの不正アクセスを防止する従来技術としては、例えば、LAN上に接続された接続権限の無い端末(不正端末)を検出し、その不正端末のLAN接続を防止する不正アクセス防止技術がある。
In recent years, there has been an incident of illegally taking in-house information by connecting a laptop computer brought into a LAN (Local Area Network) built in the company, and technology related to security measures such as information leakage and virus infection prevention has been developed. Attention has been paid.
As a conventional technique for preventing unauthorized access to a LAN in which at least one terminal is accommodated in a terminal accommodating device installed on the LAN, for example, a terminal without unauthorized connection (an unauthorized terminal) connected to the LAN is detected. However, there is an unauthorized access prevention technology for preventing the unauthorized terminal from connecting to the LAN.
上記従来技術では、接続権限の無いユーザによるLAN接続を防止するために、LANに端末を接続する際にユーザ認証を行う。その際の代表的な認証方式は、RFC2138およびRFC2251〜2256によるユーザ認証VLANや、IEEE802.1X認証である。
上記認証VLANでは、認証機能を備えたスイッチを使用し、認証機能を備えたスイッチに接続した端末を起動すると、最初は仮の(デフォルトの)VLANに接続され、DHCPサーバからは仮のIPアドレスが付与されるので、このIPアドレスを使用してスイッチに対して認証が行われる。この認証において、適切なIDやパスワードを入力する方法(例えば特許文献1参照)により認証が成功した場合には、正規のVLANに接続するためのIPアドレスがスイッチから付与される。
In the above-described conventional technology, user authentication is performed when a terminal is connected to a LAN in order to prevent a LAN connection by a user without connection authority. Typical authentication methods at that time are user authentication VLANs based on RFC 2138 and RFC 2251 to 2256, and IEEE 802.1X authentication.
In the authentication VLAN, when a switch having an authentication function is used and a terminal connected to the switch having the authentication function is activated, the terminal is initially connected to a temporary (default) VLAN, and the DHCP server receives a temporary IP address. Therefore, authentication is performed for the switch using this IP address. In this authentication, when the authentication is successful by a method of inputting an appropriate ID or password (see, for example, Patent Document 1), an IP address for connecting to a regular VLAN is given from the switch.
ネットワーク機器を置き換えることなく不正な端末(例えばパーソナルコンピュータ;PC)をLANに接続させないようにする一般的な方法としては、多くの企業で運用している、自動的にIPアドレスを割り振るDHCPサーバを使用する方法(例えば特許文献2参照)が一般的である。具体的には、接続を許可した端末のMACアドレスをDHCPサーバに登録しておき、未登録のMACアドレスを持つ端末にはIPアドレスを割り振らないように設定しておくことにより、不正な端末によるLANへの不正アクセスを防止することができる。なお、上記設定は、ほとんどのDHCPサーバで可能である。 As a general method for preventing unauthorized terminals (for example, personal computers; PCs) from being connected to a LAN without replacing network devices, a DHCP server that automatically allocates an IP address that is used in many companies is used. The method to use (for example, refer patent document 2) is common. Specifically, by registering the MAC address of the terminal permitted to connect to the DHCP server and setting the IP address not to be allocated to the terminal having the unregistered MAC address, Unauthorized access to the LAN can be prevented. Note that the above setting is possible for most DHCP servers.
上述した従来のLANへの不正アクセス防止技術では、事前に全端末のMACアドレスをリストアップするとともに、リストアップした全端末のMACアドレスをDHCPサーバに事前登録する必要があるため、導入済み端末および新規導入端末の数が多いLANの場合や、LANにおいて頻繁に端末の増設を行う場合には、関連する全ての端末のMACアドレスの登録作業およびその後のデータベース管理作業が必要になるため、運用管理者の負担が重くなってしまう。その上、上記従来技術では、L4以上の通信が開始されるまでは不正アクセスの防止が困難であり、かつ、ウィルス等の防止が困難である。 In the conventional technology for preventing unauthorized access to the LAN described above, it is necessary to list the MAC addresses of all the terminals in advance and to pre-register the MAC addresses of all the listed terminals in the DHCP server. In the case of a LAN with a large number of newly introduced terminals or when the number of terminals is frequently increased in the LAN, it is necessary to register the MAC addresses of all related terminals and to perform subsequent database management work. Burden on the person. In addition, in the above-described prior art, it is difficult to prevent unauthorized access until a communication of L4 or higher is started, and it is difficult to prevent viruses and the like.
本発明は、端末のアドレス情報のアドレステーブルへの登録を停止する機能および未登録アドレス情報を有するパケットの受信時に当該パケットを破棄する機能とを端末収容装置に具備させることにより、運用管理者の負担を軽減するとともにLANの入口で接続権限を有していない端末の不正アクセスを防止し得る、LANへの不正アクセス防止方式を提供することを目的とする。 The present invention provides a terminal accommodating device with a function of stopping registration of address information of a terminal in the address table and a function of discarding the packet when receiving a packet having unregistered address information. An object of the present invention is to provide a method for preventing unauthorized access to a LAN, which can reduce the burden and prevent unauthorized access of a terminal that does not have connection authority at the entrance of the LAN.
上記目的を達成するため、請求項1に記載の第1発明は、LAN上に設置される端末収容装置と、該端末収容装置に接続される少なくとも1つの端末とを備えるLANへの不正アクセスを防止する方式であって、前記端末収容装置は、端末のアドレス情報の前記アドレステーブルへの登録を停止するアドレス登録停止機能と、前記アドレステーブルに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能とを具備することを特徴とする。
In order to achieve the above object, the first invention described in
請求項2に記載の第2発明は、前記端末収容装置に対するコマンド入力により、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定することを特徴とする。 According to a second aspect of the present invention, the address registration stop function and the packet discard function are set to be valid or invalid by a command input to the terminal accommodating apparatus.
請求項3に記載の第3発明は、前記端末収容装置はさらに、前記アドレステーブルに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能と、前記アドレステーブルに追加登録したアドレス情報の個数が前記追加登録数に達した場合に前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えることを特徴とする。 According to a third aspect of the present invention, the terminal accommodating apparatus further includes an additional registration number setting function for setting an additional registration number of address information that can be additionally registered in the address table, and an address additionally registered in the address table. And an enabling function for enabling the address registration stop function and the packet discard function when the number of information reaches the additional registration number.
請求項4に記載の第4発明は、前記端末収容装置はさらに、設定時間に応じて動作するタイマと、前記アドレス登録停止機能および前記パケット破棄機能が無効に設定されたときから前記設定時間が経過したときに前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えることを特徴とする。 According to a fourth aspect of the present invention, the terminal accommodating apparatus further includes a timer that operates according to a set time, and the set time from when the address registration stop function and the packet discard function are set to invalid. And an enabling function for enabling the address registration stop function and the packet discarding function when elapses.
請求項5に記載の第5発明は、前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能を有効および無効の一方から他方へ切り換える有効無効切換機構を備えることを特徴とする。 According to a fifth aspect of the present invention, the terminal accommodating apparatus includes an effective / invalid switching mechanism that switches the address registration stop function and the packet discard function from one of valid and invalid to the other.
請求項6に記載の第6発明は、前記LANはさらに、当該LANを管理する監視装置を備え、該監視装置は、前記端末収容装置から通知された当該端末のアドレス情報に基づき、前記端末収容装置における前記アドレス登録停止機能および前記パケット破棄機能を有効または無効とする有効無効指令機能を備えることを特徴とする。 According to a sixth aspect of the present invention, the LAN further includes a monitoring device that manages the LAN, and the monitoring device is configured to receive the terminal based on address information of the terminal notified from the terminal accommodating device. A valid / invalid command function for validating or invalidating the address registration stop function and the packet discard function in the apparatus is provided.
請求項7に記載の第7発明は、前記監視装置は、当該LANへの接続権限を有する端末のアドレス情報を格納したアドレス情報リストと、前記端末収容装置から受信した当該端末のアドレス情報が前記アドレス情報リストに格納されているか否かを検索する検索機能と、当該端末のアドレス情報が前記アドレス情報リストに格納されている場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録許可を指示し端末のアドレス情報が前記アドレス情報リストに格納されていない場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録不許可を指示する登録許可不許可指示機能とを備えることを特徴とする。 According to a seventh aspect of the present invention, the monitoring device includes: an address information list storing address information of terminals having authority to connect to the LAN; and the address information of the terminal received from the terminal accommodating device. A search function for searching whether or not the address information is stored in the address information list, and if the address information of the terminal is stored in the address information list, the terminal accommodating device stores the address information of the terminal into the address table. A registration permission non-permission instruction function for instructing registration permission and instructing the terminal accommodating apparatus to deny registration of the address information of the terminal to the address table when the address information of the terminal is not stored in the address information list; It is characterized by providing.
請求項8に記載の第8発明は、前記端末収容装置は、前記監視装置から前記アドレステーブルへの登録許可が指示された場合に新規アドレスを前記アドレステーブルに登録し、前記監視装置から前記アドレステーブルへの登録不許可が指示された場合に前記アドレス登録停止機能を有効にすることを特徴とする。 According to an eighth aspect of the present invention, the terminal accommodating device registers a new address in the address table when the monitoring device is instructed to permit registration in the address table, and the monitoring device receives the address from the monitoring device. The address registration stop function is validated when registration non-permission to the table is instructed.
請求項9に記載の第9発明は、前記端末収容装置は、前記アドレステーブルに登録されたアドレス情報を上位端末収容装置および下位端末収容装置にそれぞれ通知するアドレス情報通知機能を備え、前記上位端末収容装置および下位端末収容装置のそれぞれは、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能を備えることを特徴とする。 According to a ninth aspect of the present invention, the terminal accommodating apparatus includes an address information notification function for notifying the upper terminal accommodating apparatus and the lower terminal accommodating apparatus of the address information registered in the address table, respectively. Each of the accommodation device and the lower-level terminal accommodation device is provided with an address table update function for updating its own address table based on the notified address information.
請求項10に記載の第10発明は、前記端末収容装置は、受信したパケットのアドレス情報であるMACアドレスおよびIPアドレスと、前記アドレステーブルに登録されたアドレス情報であるMACアドレスおよびIPアドレスとの比較時に、両者のアドレス情報が一致しない場合に前記パケット破棄機能によって当該パケットを破棄することを特徴とする。 In a tenth aspect of the present invention, the terminal accommodating apparatus includes a MAC address and an IP address that are address information of a received packet, and a MAC address and an IP address that are address information registered in the address table. In the comparison, when the address information of both does not match, the packet is discarded by the packet discard function.
請求項11に記載の第11発明は、前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能を備えることを特徴とする。 The eleventh aspect of the present invention is characterized in that the terminal accommodating device has a function state display function for displaying whether the state of the address registration stop function and the packet discard function is valid or invalid. And
請求項12に記載の第12発明は、前記端末収容装置の1つのポートまたは複数のポートに対して、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定する有効無効設定機能を備えることを特徴とする。 A twelfth aspect of the invention includes a valid / invalid setting function for setting the address registration stop function and the packet discard function to valid or invalid for one port or a plurality of ports of the terminal accommodating apparatus. It is characterized by that.
第1発明によれば、LAN上に設置される端末収容装置と、該端末収容装置に接続される少なくとも1つの端末とを備えるLANへの不正アクセスを防止する方式における端末収容装置は、端末のアドレス情報(例えばMACアドレス、IPアドレスの少なくとも一方)の前記アドレステーブルへの登録を停止するアドレス登録停止機能と、前記アドレステーブルに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能とを具備しているので、接続権限を有する端末のみを接続する前提のLANの新規構築時には、前記アドレス登録停止機能を無効にして、接続した全ての端末のアドレス情報を前記アドレステーブルに登録しておき、通常運用時には前記アドレス登録停止機能を有効にしておくとともに、接続権限を有する端末を増設するときに限り、前記アドレス登録停止機能を無効にして、当該端末のアドレス情報を前記アドレステーブルに追加登録するように運用することにより、前記アドレス登録停止機能を有効にしている間に接続権限を有していない端末が前記LANに接続された場合には、前記接続権限を有していない端末のアドレス情報は前記アドレステーブルに追加登録されないので、前記接続権限を有していない端末から前記LAN経由で送信されるパケットに含まれるアドレス情報は前記アドレステーブルに登録されていないものとなるため、そのパケットは前記パケット破棄機能によって破棄されることになる。したがって、接続権限を有する端末のアドレス情報をアドレステーブルに事前登録しておく必要が無くなるとともに、接続権限を有していない端末からのパケットをL2またはL3の処理で破棄できるため、運用管理者の負担を軽減するとともにLANの入口で接続権限を有していない端末の不正アクセスを防止し得る、LANへの不正アクセス防止方式を提供することができる。 According to the first aspect of the present invention, a terminal accommodating apparatus in a scheme for preventing unauthorized access to a LAN comprising a terminal accommodating apparatus installed on a LAN and at least one terminal connected to the terminal accommodating apparatus When an address registration stop function for stopping registration of address information (for example, at least one of a MAC address and an IP address) in the address table and a packet having address information not registered in the address table are received, And a packet discard function for discarding, when newly constructing a LAN on the premise of connecting only terminals having connection authority, the address registration stop function is invalidated and the address information of all connected terminals is Register in the address table and enable the address registration stop function during normal operation In addition, only when adding a terminal having connection authority, the address registration stop function is disabled, and the address registration stop operation is performed by additionally registering the address information of the terminal in the address table. When a terminal that does not have connection authority is connected to the LAN while the function is enabled, the address information of the terminal that does not have connection authority is not additionally registered in the address table. Since the address information included in the packet transmitted via the LAN from the terminal having no connection authority is not registered in the address table, the packet is discarded by the packet discard function. . Therefore, it is not necessary to pre-register address information of terminals having connection authority in the address table, and packets from terminals having no connection authority can be discarded by the processing of L2 or L3. It is possible to provide a method of preventing unauthorized access to a LAN that can reduce the burden and prevent unauthorized access of a terminal that does not have connection authority at the entrance of the LAN.
第2発明によれば、前記端末収容装置に対するコマンド入力により、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定することができるので、LANの新規構築時には無効に設定して接続権限を有する端末のアドレス情報の前記アドレステーブルへの登録を行い、通常運用時には有効に設定してアドレス情報の登録を阻止し、接続権限を有する端末の増設時には無効に設定して接続権限を有する端末のアドレス情報の前記アドレステーブルへの登録を行う、一連の作業を極めて簡単に行うことができるようになり、運用管理者の負担を軽減することができる。 According to the second aspect of the present invention, the address registration stop function and the packet discard function can be set to be valid or invalid by inputting a command to the terminal accommodating apparatus. A terminal having a connection authority by registering the address information of a terminal having a terminal in the address table, setting it valid during normal operation to prevent registration of the address information, and setting it invalid when adding terminals having a connection authority A series of operations for registering the address information in the address table can be performed very easily, and the burden on the operation manager can be reduced.
第3発明によれば、前記端末収容装置はさらに、前記アドレステーブルに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能と、前記アドレステーブルに追加登録したアドレス情報の個数が前記追加登録数に達した場合に前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えるので、接続権限を有する端末を例えばN台増設する増設作業を行う場合には前記追加登録数をNに設定しておくことにより、当該増設作業において前記アドレス登録停止機能を無効にしている間に増設したN台の端末のアドレス情報の前記アドレステーブルへの追加登録が完了した後は前記アドレス登録停止機能が有効になるため、接続権限を有していない端末が前記LANに接続された場合には、前記接続権限を有していない端末のアドレス情報は前記アドレステーブルに追加登録されず、前記接続権限を有していない端末から前記LAN経由で送信されるパケットに含まれるアドレス情報は前記アドレステーブルに登録されていないものとなるため、そのパケットは前記パケット破棄機能によって破棄されることになり、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。 According to the third invention, the terminal accommodating apparatus further includes an additional registration number setting function for setting an additional registration number of address information that can be additionally registered in the address table, and a number of address information additionally registered in the address table. When the number of additional registrations has been reached, the address registration stop function and the enabling function for enabling the packet discard function are provided. By setting the number of additional registrations to N, after the additional registration to the address table of the address information of N terminals added while the address registration stop function is disabled in the expansion work is completed Since the address registration stop function is enabled, if a terminal without connection authority is connected to the LAN, the connection Address information of a terminal that does not have a limit is not additionally registered in the address table, and address information included in a packet transmitted via the LAN from a terminal that does not have the connection authority is registered in the address table. Therefore, the packet is discarded by the packet discard function, and unauthorized access by a terminal having no connection authority at the entrance of the LAN can be prevented.
第4発明によれば、前記端末収容装置はさらに、設定時間に応じて動作するタイマと、前記アドレス登録停止機能および前記パケット破棄機能が無効に設定されたときから前記設定時間が経過したときに前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えるので、接続権限を有する端末を増設する増設作業の開始時刻から終了予定時刻までの時間を前記設定時間として設定しておくことにより、当該増設作業において前記設定時間内に増設した端末のアドレス情報の前記アドレステーブルへの追加登録が完了した後は前記アドレス登録停止機能が有効になるため、接続権限を有していない端末が前記LANに接続された場合には、前記接続権限を有していない端末のアドレス情報は前記アドレステーブルに追加登録されず、前記接続権限を有していない端末から前記LAN経由で送信されるパケットに含まれるアドレス情報は前記アドレステーブルに登録されていないものとなるため、そのパケットは前記パケット破棄機能によって破棄されることになり、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。 According to the fourth invention, the terminal accommodating apparatus further includes a timer that operates in accordance with a set time, and when the set time has elapsed since the address registration stop function and the packet discard function are set to be invalid. Since the address registration stop function and the enabling function for enabling the packet discard function are provided, the time from the start time of the expansion work for adding a terminal having connection authority to the scheduled end time is set as the set time. Therefore, after the additional registration of the address information of the terminal added within the set time in the setting time in the address table is completed, the address registration stop function becomes effective, and thus the connection authority is not provided. When a terminal is connected to the LAN, the address information of the terminal that does not have the connection authority is the address table. Since the address information included in the packet transmitted via the LAN from a terminal that is not additionally registered and does not have the connection authority is not registered in the address table, the packet is received by the packet discard function. As a result, it is possible to prevent unauthorized access by a terminal having no connection authority at the entrance of the LAN.
第5発明によれば、前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能を有効および無効の一方から他方へ切り換える有効無効切換機構(例えば切換スイッチや切換ボタン)を備えるので、LANの新規構築時には無効に設定して接続権限を有する端末のアドレス情報の前記アドレステーブルへの登録を行い、通常運用時には有効に設定してアドレス情報の登録を阻止し、接続権限を有する端末の増設時には無効に設定して接続権限を有する端末のアドレス情報の前記アドレステーブルへの登録を行う、一連の作業を極めて簡単に行うことができるようになり、運用管理者の負担を軽減することができる。 According to the fifth aspect of the present invention, the terminal accommodating apparatus includes an effective / invalid switching mechanism (for example, a switch or a switching button) that switches the address registration stop function and the packet discard function from one of valid and invalid to the other. Set to invalid when registering new address information in the address table and register it in the address table during normal operation to prevent registration of address information and increase the number of terminals with connection authority A series of operations that register the address information of terminals having connection authority to the address table that are sometimes set to invalid can be performed very easily, and the burden on the operation manager can be reduced. .
第6発明によれば、前記LANはさらに、当該LANを管理する監視装置を備え、該監視装置は、前記端末収容装置から通知された当該端末のアドレス情報に基づき、前記端末収容装置における前記アドレス登録停止機能および前記パケット破棄機能を有効または無効とする有効無効指令機能を備えるので、例えば前記LANに接続された端末が接続権限を有している場合は前記端末収容装置における前記アドレス登録停止機能および前記パケット破棄機能を無効とする指令を行い、前記LANに接続された端末が接続権限を有していない場合は前記端末収容装置における前記アドレス登録停止機能および前記パケット破棄機能を有効とする指令を行うことにより、前記端末収容装置において接続権限を有している端末のアドレス情報のみを登録させるとともに前記アドレステーブルに登録されていないアドレス情報を有するパケットを破棄させることができ、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。 According to a sixth aspect of the present invention, the LAN further includes a monitoring device that manages the LAN, and the monitoring device uses the address information of the terminal notified from the terminal accommodating device and the address in the terminal accommodating device. Since the registration stop function and the valid / invalid command function for validating or invalidating the packet discard function are provided, for example, when a terminal connected to the LAN has connection authority, the address registration stop function in the terminal accommodating apparatus And an instruction to invalidate the packet discard function, and an instruction to validate the address registration stop function and the packet discard function in the terminal accommodating apparatus when a terminal connected to the LAN does not have connection authority. By doing this, only the address information of the terminal having connection authority in the terminal accommodating device is obtained. It causes the recording can be discarded a packet with address information which is not registered in the address table, so as to be prevented from illegal access terminal that does not have the connection authority at the entrance of the LAN.
第7発明によれば、前記監視装置は、当該LANへの接続権限を有する端末のアドレス情報を格納したアドレス情報リストと、前記端末収容装置から受信した当該端末のアドレス情報が前記アドレス情報リストに格納されているか否かを検索する検索機能と、当該端末のアドレス情報が前記アドレス情報リストに格納されているアドレス情報登録済み端末の場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録許可を指示し端末のアドレス情報が前記アドレス情報リストに格納されていない場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録不許可を指示する登録許可不許可指示機能とを備えるから、前記LANに接続された端末が接続権限を有している場合は登録許可を指示して当該端末のアドレス情報を前記アドレステーブルに登録させ、前記LANに接続された端末が接続権限を有していない場合は登録不許可を指示して当該端末のアドレス情報を前記アドレステーブルに登録にさせないようにすることにより、前記端末収容装置において接続権限を有している端末のアドレス情報のみを登録させるとともに前記アドレステーブルに登録されていないアドレス情報を有するパケットを破棄させることができ、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。 According to the seventh invention, the monitoring device includes an address information list storing address information of a terminal authorized to connect to the LAN, and the address information of the terminal received from the terminal accommodating device in the address information list. A search function for searching whether or not the address information of the terminal is stored, and in the case where the address information has been registered in the address information list, the address table of the address information of the terminal is stored in the terminal accommodating device. If the terminal address information is not stored in the address information list, a registration permission non-permission instruction for instructing the terminal accommodating device to deny registration of the terminal address information in the address table. If the terminal connected to the LAN has the connection authority, the registration permission is instructed. The address information of the terminal is registered in the address table, and if the terminal connected to the LAN does not have connection authority, registration is not permitted and the address information of the terminal is registered in the address table. By not doing so, it is possible to register only the address information of terminals having connection authority in the terminal accommodating apparatus and to discard packets having address information not registered in the address table. It is possible to prevent unauthorized access of a terminal that does not have connection authority at the entrance.
第8発明によれば、前記端末収容装置は、前記監視装置から前記アドレステーブルへの登録許可が指示された場合に新規アドレスを前記アドレステーブルに登録し、前記監視装置から前記アドレステーブルへの登録不許可が指示された場合に前記アドレス登録停止機能を有効にするから、接続権限を有している端末のアドレス情報のみを登録するとともに前記アドレステーブルに登録されていないアドレス情報を有するパケットを破棄することができ、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。 According to the eighth invention, the terminal accommodating device registers a new address in the address table when registration permission is instructed from the monitoring device to the address table, and registers from the monitoring device to the address table. Since the address registration stop function is enabled when a non-permission is instructed, only the address information of the terminal having the connection authority is registered and the packet having the address information not registered in the address table is discarded. It is possible to prevent unauthorized access of a terminal that does not have connection authority at the entrance of the LAN.
第9発明によれば、前記端末収容装置は、前記アドレステーブルに登録されたアドレス情報を上位端末収容装置および下位端末収容装置にそれぞれ通知するアドレス情報通知機能を備え、前記上位端末収容装置および下位端末収容装置のそれぞれは、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能を備えるから、前記端末収容装置、上位端末収容装置および下位端末収容装置から成る複数段の端末収容装置で構成されたLANにおいて、前記端末収容装置の前記アドレステーブルに登録されたアドレス情報を複数段の端末収容装置で共有することにより、他の端末収容装置への端末の移動や、端末の配置替えの場合に、新たに接続した上位端末収容装置または下位端末収容装置において、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効とする処理を要することなく、前記LANに接続されたアクセス権限を有する端末のアドレス情報を上位端末収容装置または下位端末収容装置のアドレステーブルに登録することが可能になり、運用管理者の負担を軽減することができる。 According to the ninth invention, the terminal accommodating device has an address information notification function for notifying the upper terminal accommodating device and the lower terminal accommodating device of the address information registered in the address table, respectively. Since each of the terminal accommodating devices has an address table update function for updating its own address table based on the notified address information, a multi-stage terminal composed of the terminal accommodating device, the upper terminal accommodating device, and the lower terminal accommodating device In a LAN composed of accommodating devices, by sharing the address information registered in the address table of the terminal accommodating device with a plurality of stages of terminal accommodating devices, it is possible to move terminals to other terminal accommodating devices, In the case of rearrangement, in the newly connected upper terminal accommodating device or lower terminal accommodating device, Registers address information of a terminal having access authority connected to the LAN in the address table of the upper terminal accommodating apparatus or the lower terminal accommodating apparatus without requiring processing for enabling or disabling the address registration stop function and the packet discard function. It is possible to reduce the burden on the operation manager.
第10発明によれば、前記端末収容装置は、受信したパケットのアドレス情報であるMACアドレスおよびIPアドレスと、前記アドレステーブルに登録されたアドレス情報であるMACアドレスおよびIPアドレスとの比較時に、両者のアドレス情報が一致しない場合に前記パケット破棄機能によって当該パケットを破棄するから、接続権限を有していない端末の不正アクセスをさらに確実に防止し得るようになる。 According to the tenth aspect of the invention, the terminal accommodating apparatus compares the MAC address and IP address that are the address information of the received packet with the MAC address and IP address that are the address information registered in the address table. When the address information does not match, the packet discard function discards the packet, so that unauthorized access by a terminal without connection authority can be prevented more reliably.
第11発明によれば、前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能を備えるから、前記端末収容装置を運用管理者が操作する際の作業性が向上する。 According to an eleventh aspect of the invention, since the terminal accommodating apparatus has a function state display function for displaying whether the address registration stop function and the packet discard function are valid or invalid, the terminal accommodating apparatus is Workability when the operation manager operates is improved.
第12発明によれば、前記端末収容装置の1つのポートまたは複数のポートに対して、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定する有効無効設定機能を備えるから、少数の端末を前記LANに増設する場合にも、多数の端末を前記LANに増設する場合にも対応可能になり、端末増設時の作業性が向上する。 According to the twelfth invention, since the address registration stop function and the packet discard function are set to be valid or invalid for one port or a plurality of ports of the terminal accommodating apparatus, a small number of Even when a terminal is added to the LAN, it is possible to cope with a case where a large number of terminals are added to the LAN.
以下、本発明を実施するための最良の形態を図面に基づき詳細に説明する。 Hereinafter, the best mode for carrying out the present invention will be described in detail with reference to the drawings.
[第1実施形態]
図1(a)は本発明の第1実施形態のLANへの不正アクセス防止方式の実施に用いるLANシステムの構成を例示するシステム図であり、図1(b)は上記LANシステムの端末収容装置に内蔵されるアドレステーブルを例示する図である。本実施形態のLANシステムは、図1に示すように、LAN(IPサブネットワーク)1と、LAN1上に設置される端末収容装置2と、端末収容装置2に接続される複数台の端末3(図示例では3台の端末である、端末3−1,端末3−2,端末3−3)とを具備して成る。なお、端末3−1および端末3−2は、LAN1への接続権限を有する端末であり、端末3−3は、LAN1への接続権限を有していない端末であるものとし、端末3−1〜3−3のそれぞれのMACアドレスは、「aa:aa:aa:aa:aa:aa」、「bb:bb:bb:bb:bb:bb」、「cc:cc:cc:cc:cc:cc」であるものとする。なお、以下に示す例では、端末のアドレス情報としてMACアドレスのみを用いる場合を示したが、端末のアドレス情報としてIPアドレスのみを用いる場合も、端末のアドレス情報としてMACアドレスおよびIPアドレスを用いる場合も、本発明は適用可能である。
[First Embodiment]
FIG. 1A is a system diagram illustrating the configuration of a LAN system used for implementing the unauthorized access prevention system for a LAN according to the first embodiment of the present invention, and FIG. 1B is a terminal accommodating device of the LAN system. It is a figure which illustrates the address table built in. As shown in FIG. 1, the LAN system according to the present embodiment includes a LAN (IP subnetwork) 1, a terminal
上記端末収容装置2は、アドレステーブル2aを備えており、配下のLAN上に新規端末が接続されたときに当該端末から送信される「gratuitous ARPパケット(重複IPアドレス検出やARPキャッシュエントリ更新のために用いられるパケット)等のBroadcastパケットに基づいて、アドレステーブル2aに新規端末のIPアドレスまたはMACアドレスアドレスを登録し、アドレステーブル2aを参照して該当するポートに受信パケットを送信するように構成されている。上記端末収容装置2としては、ルータやL2スイッチ装置等を用いることができる。本実施形態の端末収容装置2は、汎用的な端末収容装置が有する各種機能や構成要素に加えて、以下に列挙するような本発明特有の各種機能や構成要素を有している。
The terminal
(1)端末のアドレス情報のアドレステーブル2aへの登録を停止するアドレス登録停止機能
(2)アドレステーブル2aに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能
(3)端末収容装置2に対するコマンド入力により、上記アドレス登録停止機能および上記パケット破棄機能を有効または無効に設定する有効無効設定機能
(4)アドレステーブル2aに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能
(5)アドレステーブル2aに追加登録したアドレス情報の個数が上記追加登録数に達した場合に上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能
(6)設定時間に応じて動作するタイマ
(7)上記アドレス登録停止機能および上記パケット破棄機能が無効に設定されたときから上記設定時間が経過したときに上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能
(8)上記アドレス登録停止機能および上記パケット破棄機能を有効および無効の一方から他方へ切り換える有効無効切換機構(例えばスイッチやボタン);なお、上記(3)の機能および(8)の機能の少なくとも一方が端末収容装置2に具備されていればよい。
(9)保守コンソール4(図6参照)に、アドレステーブル2aに登録されたアドレス情報を通知する機能(この機能は、SNMPによって実現してもよい)
(10)保守コンソール4(図6参照)からの指令に基づいて上記アドレス登録停止機能および上記パケット破棄機能を有効または無効とする有効無効機能(この機能は、SNMPによって実現してもよい)
(11)保守コンソール4(図6参照)からアドレステーブル2aへの登録許可が指示された場合に新規アドレスをアドレステーブル2aに登録し 、保守コンソール4(図6参照)からアドレステーブル2aへの登録不許可が指示された場合に上記アドレス登録停止機能を有効にする選択的アドレス登録機能
(12)アドレステーブル2aに登録されたアドレス情報を保守コンソール4(図6参照)、上位端末収容装置および下位の端末収容装置に通知するアドレス情報通知機能
(13)当該端末収容装置が上位端末収容装置および下位の端末収容装置の一方になった場合に、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能
(14)受信したパケットのアドレス情報であるMACアドレスおよびIPアドレスと、アドレステーブル2aに登録されたアドレス情報であるMACアドレスおよびIPアドレスとの比較時に、MACアドレスおよびIPアドレスの少なくとも一方が一致しない場合に上記パケット破棄機能によって当該パケットを破棄するパケット破棄機能
(14)上記アドレス登録停止機能および上記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能(例えば機能状態表示ランプ)
(15)端末収容装置2の1つのポートまたは複数のポートに対して、上記アドレス登録停止機能および上記パケット破棄機能を有効または無効に設定する有効無効設定機能
(1) Address registration stop function for stopping registration of terminal address information in the address table 2a (2) Packet discard function for discarding a packet having address information not registered in the address table 2a (3) Valid / invalid setting function for enabling / disabling the address registration stop function and the packet discard function by command input to the terminal accommodating apparatus 2 (4) Number of additional registrations of address information that can be additionally registered in the address table 2a Additional registration number setting function for setting (5) An activation function for enabling the address registration stop function and the packet discard function when the number of address information additionally registered in the address table 2a reaches the additional registration number ( 6) Timer that operates according to the set time (7) Stop address registration And the function for enabling the address registration stop function and the packet discard function when the set time has elapsed from when the packet discard function and the packet discard function are set to invalid (8) the address registration stop function and the packet An effective / invalid switching mechanism (for example, a switch or a button) for switching the discard function from one of valid and invalid to the other; at least one of the function (3) and the function (8) is provided in the terminal accommodating device 2 That's fine.
(9) A function for notifying the maintenance console 4 (see FIG. 6) of the address information registered in the address table 2a (this function may be realized by SNMP).
(10) Valid / invalid function for validating or invalidating the address registration stop function and the packet discard function based on a command from the maintenance console 4 (see FIG. 6) (this function may be realized by SNMP)
(11) When registration permission to the address table 2a is instructed from the maintenance console 4 (see FIG. 6), a new address is registered in the address table 2a, and registration from the maintenance console 4 (see FIG. 6) to the address table 2a Selective address registration function that activates the address registration stop function when a disapproval is instructed (12) Address information registered in the address table 2a is stored in the maintenance console 4 (see FIG. 6), the upper terminal accommodating device, and the lower order Address information notification function for notifying the terminal accommodating device of (13) When the terminal accommodating device is one of the upper terminal accommodating device and the lower terminal accommodating device, the own address table is created based on the notified address information. Address table update function to update (14) MAC address that is the address information of the received packet A packet that is discarded by the packet discard function when at least one of the MAC address and the IP address does not match when comparing the IP address with the MAC address and the IP address that is address information registered in the address table 2a Discard function (14) A function status display function (for example, a function status display lamp) that displays whether the address registration stop function and the packet discard function are valid or invalid.
(15) Valid / invalid setting function for setting the address registration stop function and the packet discard function to valid or invalid for one port or a plurality of ports of the terminal
以下、本実施形態のLANへの不正アクセス防止方式における共通的な処理および実際の運用時の端末接続処理を図2〜図5に基づいて説明する。なお、本実施形態のLANへの不正アクセス防止方式は、比較的小規模なLAN(端末収容装置2に収容する端末数が数十台程度のLAN)に好適に適用できるように構成されており、接続権限を有する端末のアドレス情報をアドレステーブルの事前登録を行わずに、接続権限を有していない端末からのパケットをL2またはL3の処理で破棄することができるようになっている。
Hereinafter, common processing in the method for preventing unauthorized access to a LAN according to this embodiment and terminal connection processing during actual operation will be described with reference to FIGS. The unauthorized access prevention method for the LAN according to the present embodiment is configured to be suitably applicable to a relatively small LAN (a LAN in which the number of terminals accommodated in the terminal
[端末収容装置2におけるコマンド受付処理]
図2は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施するコマンド受付処理を示すフローチャートである。まず、図2のステップS1で端末収容装置2がコマンドを受け付けると、次のステップS2では、当該コマンドの解析を行う。上記ステップS1で受け付けるコマンドとは、上述した端末収容装置2における(1)アドレス登録停止機能および(2)パケット破棄機能の双方を、有効/無効のどちらに設定するかを決定するコマンドであるため、ステップS2の解析の結果が有効であれば、ステップS3のYES(有効)からステップS4に進んで、機能フラグFNKを”1”にセットし、ステップS2の解析の結果が無効であれば、ステップS3のNO(無効)からステップS5に進んで、機能フラグFNKを”0”にセットする。以下、この機能フラグに基づいて、本発明特有の処理が行われることになる。
なお、上記ステップS1の「コマンド受付」は、「オペレータ(運用管理者)による端末収容装置2への直接的なコマンド入力」、「オペレータによる端末収容装置2での有効無効切換機構の切換操作」、「オペレータによる保守コンソール4(図6参照)経由の有効無効指令」の何れかが行われたときに実施されるものとする。
[Command receiving process in terminal accommodating apparatus 2]
FIG. 2 is a flowchart showing a command reception process performed by the terminal accommodating device in the unauthorized access prevention system for the LAN according to the first embodiment. First, when the terminal
Note that “command reception” in step S1 is “direct command input to the terminal
[端末収容装置2におけるパケット送受信処理]
図3は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施するパケット送受信処理を示すフローチャートである。まず、図3のステップS11で、LANの新規構築時1に接続された端末からのパケットが受信されると、次のステップS12では、当該パケットの送り元アドレス(SA)がアドレステーブル2aに登録されているか否かを検索し、登録有りならばステップS13に進み、登録無しならばステップS14に進む。ステップS13では、当該パケットの送り先アドレス(DA)が「Broadcast」か「unicast」かを判別し、「Broadcast」であればステップS14に進み、「unicast」であればステップS15に進む。ステップS14では、現在の機能フラグのセット状態をチェックし、”0”にセットされていれば(無効であれば)、ステップS16に進んで当該パケットの送り元アドレス(SA)およびポート番号をアドレステーブル2aに登録し、”1”にセットされていれば(有効であれば)、上記ステップS16の処理をスキップして直ちにステップS15に進む。
[Packet transmission / reception processing in terminal accommodating apparatus 2]
FIG. 3 is a flowchart showing packet transmission / reception processing executed by the terminal accommodating apparatus in the unauthorized access prevention system for the LAN according to the first embodiment. First, in step S11 of FIG. 3, when a packet is received from a terminal connected when a new LAN is constructed, in step S12, the source address (SA) of the packet is registered in the address table 2a. If there is registration, the process proceeds to step S13, and if there is no registration, the process proceeds to step S14. In step S13, it is determined whether the destination address (DA) of the packet is “Broadcast” or “unicast”. If “Broadcast”, the process proceeds to step S14, and if “unicast”, the process proceeds to step S15. In step S14, the current setting state of the function flag is checked, and if it is set to "0" (if invalid), the process proceeds to step S16 and the source address (SA) and port number of the packet are addressed. If it is registered in the table 2a and set to “1” (if valid), the process of step S16 is skipped and the process immediately proceeds to step S15.
ステップS15では、当該パケットの送り先アドレス(DA)がアドレステーブル2aに登録されているか否かを検索し、登録有りならばステップS17に進んでアドレステーブルの指定ポートに当該パケットを送信し(送り先が判明した正規パケット受信時の処理形態)、登録無しならばステップS18に進んで現在の機能フラグのセット状態をチェックする。このステップS18のチェックにおいて、”1”にセットされていれば(有効であれば)、ステップS19に進んで当該パケットを破棄し(不正パケット受信時の処理形態)、”0”にセットされていれば(無効であれば)、ステップS20に進んで当該パケットを全ポートに送信する(送り先未定の正規パケット受信時の処理形態)。 In step S15, it is searched whether or not the destination address (DA) of the packet is registered in the address table 2a. If registered, the process proceeds to step S17 to transmit the packet to the designated port in the address table (the destination is If it is not registered, the process proceeds to step S18 to check the current function flag set state. In the check in step S18, if it is set to “1” (if valid), the process proceeds to step S19 to discard the packet (processing mode when receiving an illegal packet) and set to “0”. If it is invalid (if invalid), the process proceeds to step S20, and the packet is transmitted to all ports (processing mode when receiving a regular packet whose destination is unknown).
次に、本実施形態のLANへの不正アクセス防止方式における実際の運用時の端末接続処理を図4に基づいて説明する。
[LANの新規構築時の端末接続処理]
図4は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施する端末接続処理を示すフローチャートである。まず、図4のステップS21では、LANの新規構築時には接続権限を有する端末のみをLAN1(端末収容装置2)に接続するという前提で、図2に示すコマンド受付処理によって機能フラグFNKを”0”にセットする。次のステップS22では、端末収容装置2にLANへの接続権限を有する端末(例えば図1に示す端末3−1,端末3−2)を接続し、次のステップS23では、端末接続時に端末3−1,端末3−2からそれぞれ送信される「gratuitous ARPパケット」を端末収容装置2が受信する。それにより、「gratuitous ARPパケット」で通知されたMACアドレスを有する端末が接続されたことを端末収容装置2が検知することになる。
Next, terminal connection processing during actual operation in the method for preventing unauthorized access to the LAN of this embodiment will be described with reference to FIG.
[Terminal connection processing when building a new LAN]
FIG. 4 is a flowchart showing a terminal connection process performed by the terminal accommodating apparatus in the unauthorized access prevention system for the LAN according to the first embodiment. First, in step S21 in FIG. 4, the function flag FNK is set to “0” by the command reception process shown in FIG. 2 on the assumption that only a terminal having connection authority is connected to the LAN 1 (terminal accommodating apparatus 2) when a new LAN is constructed. Set to. In the next step S22, terminals having authority to connect to the LAN (for example, the terminal 3-1 and the terminal 3-2 shown in FIG. 1) are connected to the terminal
次のステップS24では、受信した「gratuitous ARPパケット」に基づいて図3に示すパケット送受信処理を実施する。このパケット送受信処理は、ステップS11−ステップS12の登録無し−ステップS14の”0”(無効)−ステップS16という経路で進むので、ステップS16の実行により端末3−1,端末3−2の送り元アドレス(SA)およびポート番号がアドレステーブル2aに登録されることになる。その後、処理はステップS15の登録無し−ステップS18の”0”(無効)−ステップS20という経路で進むので、当該パケットはステップS20で全ポートに送信されることになる。そして、上記パケット送受信処理の終了時には、端末収容装置2内のアドレステーブル2aには、「接続権限を有する全端末のアドレス情報を格納したアドレステーブル」が形成されることになる。
なお、上記のようにして端末のアドレス情報のアドレステーブル2aへの登録が完了した後にアドレス情報登録済みの端末(すなわち、接続権限を有する端末)からパケットが送信されると、処理はステップS11−ステップS12の登録有り−ステップS13のNO−ステップS15と進み、ステップS15で当該パケットの送り先アドレス(DA)がアドレステーブル2aに登録されているか否かを検索したとき、登録有りであるため、ステップS15の登録有りからステップS17に進むことになり、ステップS17で、アドレステーブルの指定ポートに当該パケットを送信する(送り先が判明した正規パケット受信時の処理形態)。
In the next step S 24, the packet transmission / reception process shown in FIG. 3 is performed based on the received “grafted ARP packet”. Since this packet transmission / reception process proceeds along the route of step S11-no registration of step S12- "0" (invalid) of step S14-step S16, the source of the terminal 3-1 and terminal 3-2 by execution of step S16 The address (SA) and the port number are registered in the address table 2a. Thereafter, the process proceeds along a route of “No registration” in step S15— “0” (invalid) in step S18—step S20, and the packet is transmitted to all ports in step S20. At the end of the packet transmission / reception process, an “address table storing address information of all terminals having connection authority” is formed in the address table 2 a in the terminal
If a packet is transmitted from a terminal whose address information has been registered (that is, a terminal having connection authority) after the registration of the address information of the terminal in the address table 2a is completed as described above, the process proceeds to step S11- Step S12 is registered-NO in Step S13-Proceeding to Step S15, and if it is searched in Step S15 whether the destination address (DA) of the packet is registered in the address table 2a, it is registered. The process proceeds from step S15 to step S17, and in step S17, the packet is transmitted to the designated port of the address table (processing mode when receiving a regular packet whose destination is known).
[LANへの端末増設時の端末接続処理]
まず、図4のステップS21では、LANへの端末増設時には接続権限を有する端末のみをLAN1(端末収容装置2)に接続するという前提で、図2に示すコマンド受付処理によって機能フラグFNKを”0”にセットする。次のステップS22では、端末収容装置2にLANへの接続権限を有する端末(例えば図1に示す端末3−1,端末3−2)を接続し、次のステップS23では、端末接続時に端末3−1,端末3−2からそれぞれ送信される「gratuitous ARPパケット」を端末収容装置2が受信する。それにより、「gratuitous ARPパケット」で通知されたMACアドレスを有する端末が接続されたことを端末収容装置2が検知することになる。
[Terminal connection processing when adding terminals to the LAN]
First, in step S21 in FIG. 4, the function flag FNK is set to “0” by the command reception process shown in FIG. 2 on the premise that only terminals having connection authority are connected to the LAN 1 (terminal accommodating apparatus 2) when adding terminals to the LAN. Set to "". In the next step S22, terminals having authority to connect to the LAN (for example, the terminal 3-1 and the terminal 3-2 shown in FIG. 1) are connected to the terminal
次のステップS24では、受信した「gratuitous ARPパケット」に基づいて図3に示すパケット送受信処理を実施する。このパケット送受信処理では、処理はステップS11−ステップS12の登録無し−ステップS14の”0”(無効)−ステップS16という経路で進むので、ステップS16の実行により端末3−1,端末3−2の送り元アドレス(SA)およびポート番号がアドレステーブル2aに登録されることになる。その後、処理はステップS15の登録無し−ステップS18の”0”(無効)−ステップS20という経路で進むので、当該パケットはステップS20で全ポートに送信されることになる。そして、上記パケット送受信処理の終了時には、端末収容装置2内のアドレステーブル2aには、「既存の接続権限を有する全端末のアドレス情報を集めたアドレステーブル」に、増設した接続権限を有する端末のアドレス情報が追加登録されて、「接続権限を有する全端末のアドレス情報を格納したアドレステーブル」が更新されることになる。
なお、上記のようにして端末のアドレス情報のアドレステーブル2aへの登録が完了した後にアドレス情報登録済みの端末(すなわち、接続権限を有する端末)からパケットが送信されると、処理はステップS11−ステップS12の登録有り−ステップS13のNO−ステップS15と進み、ステップS15で当該パケットの送り先アドレス(DA)がアドレステーブル2aに登録されているか否かを検索したとき、登録有りであるため、ステップS15の登録有りからステップS17に進むことになり、ステップS17で、アドレステーブルの指定ポートに当該パケットを送信する(送り先未定の正規パケット受信時の処理形態)。
In the next step S24, the packet transmission / reception process shown in FIG. 3 is performed based on the received “gratuituous ARP packet”. In this packet transmission / reception process, the process proceeds along the route of step S11-no registration at step S12- "0" (invalid) at step S14-step S16. The source address (SA) and the port number are registered in the address table 2a. Thereafter, the process proceeds along a route of “No registration” in step S15— “0” (invalid) in step S18—step S20, and the packet is transmitted to all ports in step S20. At the end of the packet transmission / reception process, the address table 2a in the terminal
If a packet is transmitted from a terminal whose address information has been registered (that is, a terminal having connection authority) after the registration of the address information of the terminal in the address table 2a is completed as described above, the process proceeds to step S11- Step S12 is registered-NO in Step S13-Proceeding to Step S15, and if it is searched in Step S15 whether the destination address (DA) of the packet is registered in the address table 2a, it is registered. The process proceeds from step S15 to step S17. In step S17, the packet is transmitted to the designated port in the address table (processing mode when receiving a regular packet whose destination is unknown).
[LAN構築後の通常運用時における接続権限を有していない端末の接続時の処理]
図5は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施するLAN構築後の通常運用時における接続権限を有していない端末の接続時の処理を示すフローチャートである。まず、図5のステップS31では、接続権限を有していない端末の不正アクセスを防止するために、LAN構築後は、上記端末増設時を除き、LAN1(端末収容装置2)に接続された端末は全て接続権限を有していない端末であると見なすという前提で、図2に示すコマンド受付処理によって機能フラグFNKを”1”にセットして、上記(1)アドレス登録停止機能および(2)パケット破棄機能を有効にしておく。次のステップS32で、端末収容装置2にLANへの接続権限を有していない端末(例えば図1に示す端末33)が接続されると、次のステップS33では、端末接続時に端末3−3から送信される「gratuitous ARPパケット」を端末収容装置2が受信する。それにより、「gratuitous ARPパケット」で通知されたMACアドレスを有する端末が接続されたことを端末収容装置2が検知することになる。
[Processing when connecting a terminal that does not have connection authority during normal operation after LAN construction]
FIG. 5 is a flowchart showing processing at the time of connection of a terminal having no connection authority at the time of normal operation after LAN construction implemented in the terminal accommodating apparatus in the method for preventing unauthorized access to the LAN of the first embodiment. First, in step S31 of FIG. 5, in order to prevent unauthorized access of a terminal that does not have connection authority, after LAN construction, terminals connected to LAN 1 (terminal accommodating apparatus 2) except when the terminals are added. Is assumed to be a terminal having no connection authority, the function flag FNK is set to “1” by the command reception process shown in FIG. 2, and the above (1) address registration stop function and (2) Enable the packet discard function. In the next step S32, when a terminal (for example, the terminal 33 shown in FIG. 1) that does not have the authority to connect to the LAN is connected to the terminal
次のステップS34では、受信した「gratuitous ARPパケット」に基づいて図3に示すパケット送受信処理を実施する。このパケット送受信処理では、処理はステップS11−ステップS12の登録無し−ステップS14の”1”(有効)という経路で進むため、ステップS16がスキップされることになり、端末3−3の送り元アドレス(SA)およびポート番号がアドレステーブル2aに登録されることが阻止される。その後、処理はステップS15の登録無し−ステップS18の”1”(有効)−ステップS19という経路で進むので、当該パケットはステップS19で破棄されることになる。その結果、所望の通りにLANへの接続権限を有していない端末33のLAN1へのアクセスを禁止することができる。
In the next step S34, the packet transmission / reception process shown in FIG. 3 is performed based on the received “gratuituous ARP packet”. In this packet transmission / reception process, the process proceeds along the route of step S11-no registration in step S12- "1" (valid) in step S14, so step S16 is skipped, and the source address of the terminal 3-3 (SA) and the port number are prevented from being registered in the address table 2a. Thereafter, the process proceeds along a route of “No registration” in step S15— “1” (valid) in step S18—step S19, and the packet is discarded in step S19. As a result, it is possible to prohibit the access to the
本実施形態のLANへの不正アクセス防止方式によれば、端末収容装置2は、(1)アドレス登録停止機能と、(2)パケット破棄機能とを具備しているので、接続権限を有する端末のみを接続する前提のLANの新規構築時には、(1)アドレス登録停止機能を無効にして、接続した全ての端末のアドレス情報を前記アドレステーブル2aに登録しておき、通常運用時には(1)アドレス登録停止機能を有効にしておくとともに、接続権限を有する端末を増設するときに限り、(1)アドレス登録停止機能を無効にして、当該端末のアドレス情報(例えばMACアドレス、IPアドレスの少なくとも一方)をアドレステーブル2aに追加登録するように運用することにより、(1)アドレス登録停止機能を有効にしている間に接続権限を有していない端末がLAN1に接続された場合には、接続権限を有していない端末のアドレス情報はアドレステーブル2aに追加登録されないので、接続権限を有していない端末からLAN1経由で送信されるパケットに含まれるアドレス情報はアドレステーブル2aに登録されていないものとなるため、そのパケットは(2)パケット破棄機能によって破棄されることになる。したがって、接続権限を有する端末のアドレス情報をアドレステーブルに事前登録しておく必要が無くなるとともに、アドレス情報(MACアドレスやIPアドレス)をフィルタとして使用することにより接続権限を有していない端末からのパケットをL2またはL3の処理で破棄できるため、運用管理者の負担を軽減するとともにLANの入口で接続権限を有していない端末の不正アクセスを防止し得る、LANへの不正アクセス防止方式を提供することができる。
According to the method for preventing unauthorized access to the LAN of this embodiment, the terminal
また、本実施形態のLANへの不正アクセス防止方式によれば、オペレータによる端末収容装置2への直接的なコマンド入力、または、オペレータによる端末収容装置2での有効無効切換機構の切換操作により、(1)アドレス登録停止機能および(2)パケット破棄機能を有効または無効に設定することができるので、LANの新規構築時には無効に設定して接続権限を有する端末のアドレス情報のアドレステーブル2aへの登録を行い、通常運用時には有効に設定してアドレス情報の登録を阻止し、接続権限を有する端末の増設時には無効に設定して接続権限を有する端末のアドレス情報のアドレステーブル2aへの登録を行う、一連の作業を極めて簡単に行うことができるようになり、オペレータの負担を軽減することができる。
また、本実施形態のLANへの不正アクセス防止方式に用いる端末収容装置2は、(14)上記アドレス登録停止機能および上記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能(例えば機能状態表示ランプ)を備えるので、オペレータが端末収容装置2で各種入力操作を行う際には、現在の(1)アドレス登録停止機能および(2)パケット破棄機能の有効/無効を容易に認知し得るようになり、端末収容装置をオペレータが操作する際の作業性が向上する。
Further, according to the method of preventing unauthorized access to the LAN of the present embodiment, the operator directly inputs a command to the terminal
In addition, the terminal
なお、上記第1実施形態においては、「端末増設時には接続権限を有する端末のみをLAN1(端末収容装置2)に接続するという前提」を用いているが、「端末増設時に、接続権限を有する端末に加えて、接続権限を有していない端末が不正に接続される可能性」もあるので、その対策として、「端末増設時には、増設台数や増設作業を行う設定時間が予め分かっていること」を利用して、上述した(4)アドレステーブル2aに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能、(5)アドレステーブル2aに追加登録したアドレス情報の個数が上記追加登録数に達した場合に上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能、(6)設定時間に応じて動作するタイマ、(7)上記アドレス登録停止機能および上記パケット破棄機能が無効に設定されたときから上記設定時間が経過したときに上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能、を併用することが、不正アクセス防止機能を向上させる上で好ましい。 In the first embodiment, the “premise that only terminals having connection authority are connected to the LAN 1 (terminal accommodating apparatus 2) when terminals are added” is used, but “terminals having connection authority when terminals are added”. In addition to this, there is a possibility that a terminal without connection authority may be illegally connected. (4) The additional registration number setting function for setting the additional registration number of address information that can be additionally registered in the address table 2a, and (5) the number of address information additionally registered in the address table 2a is added as described above. An enabling function for enabling the address registration stop function and the packet discard function when the number of registrations is reached, (6) a timer that operates according to a set time, and (7) the above It is illegal to use the address registration stop function and the enable function that enables the packet discard function when the set time has elapsed since the address registration stop function and the packet discard function are disabled. It is preferable for improving the access prevention function.
また、上記第1実施形態のLANシステムでは1台の端末収容装置を用いているが、端末収容装置2に対して上位端末収容装置および下位端末収容装置を設けてもよい。その場合、端末収容装置2は、アドレステーブル2aに登録されたアドレス情報を上位端末収容装置および下位端末収容装置に通知するアドレス情報通知機能を備え、位端末収容装置および下位端末収容装置のそれぞれは、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能を備えるから、端末収容装置2、上位端末収容装置および下位端末収容装置から成る複数段の端末収容装置で構成されたLANシステムにおいて、端末収容装置2のアドレステーブル2aに登録されたアドレス情報を複数段の端末収容装置で共有することにより、他の端末収容装置への端末の移動や、端末の配置替えの場合に、新たに接続した上位端末収容装置または下位端末収容装置において、(1)アドレス登録停止機能および(2)パケット破棄機能を有効または無効とする処理を要することなく、LANに接続されたアクセス権限を有する端末のアドレス情報を上位端末収容装置または下位端末収容装置のアドレステーブルに登録することが可能になり、オペレータの負担を軽減することができる。
In the LAN system of the first embodiment, one terminal accommodating device is used. However, an upper terminal accommodating device and a lower terminal accommodating device may be provided for the terminal
また、上記第1実施形態においては、端末収容装置2は、受信したパケットのアドレス情報であるMACアドレス(SAアドレス)とアドレステーブルに登録されたアドレス情報であるMACアドレス(SAアドレス)とを比較するようにしたが、受信したパケットのアドレス情報であるMACアドレス(SAアドレス)およびIPアドレスとアドレステーブルに登録されたアドレス情報であるMACアドレス(SAアドレス)およびIPアドレスとを比較して、両者の2種類のアドレス情報が一致しない場合に(2)パケット破棄機能によって当該パケットを破棄するようにすれば、接続権限を有していない端末の不正アクセスをさらに確実に防止し得るようになる。
In the first embodiment, the terminal
また、上記第1実施形態においては、複数(上記の場合、全部)のポートに対して(1)アドレス登録停止機能および(2)パケット破棄機能を有効または無効に設定するようにしたが、端末収容装置の1つのポートまたは複数(全部を除く)のポートに対して(1)アドレス登録停止機能および(2)パケット破棄機能を有効または無効に設定するようにすれば、少数の端末を前記LANに増設する場合にも、多数の端末を前記LANに増設する場合にも対応可能になり、端末増設時の作業性が向上する。 In the first embodiment, (1) the address registration stop function and (2) the packet discard function are set to be valid or invalid for a plurality of ports (in this case, all). By setting the (1) address registration stop function and (2) packet discard function to valid or invalid for one port or a plurality (excluding all) ports of the accommodation device, a small number of terminals are connected to the LAN. Even when a large number of terminals are added to the LAN, it is possible to cope with a case where a large number of terminals are added to the LAN.
[第2実施形態]
図6(a)は本発明の第1実施形態のLANへの不正アクセス防止方式の実施に用いるLANシステムの構成を例示するシステム図であり、図6(b)は上記LANシステムの端末収容装置に内蔵されるアドレステーブルを例示する図である。本実施形態のLANシステムは、図1に示す第1実施形態のLANシステムに保守コンソール4を追加したものであり、それ以外の部分は上記第1実施形態と同様に構成する。
[Second Embodiment]
FIG. 6A is a system diagram illustrating the configuration of a LAN system used for implementing the unauthorized access prevention system for a LAN according to the first embodiment of this invention, and FIG. 6B is a terminal accommodating device of the LAN system. It is a figure which illustrates the address table built in. The LAN system of this embodiment is obtained by adding a maintenance console 4 to the LAN system of the first embodiment shown in FIG. 1, and the other parts are configured in the same manner as in the first embodiment.
上記保守コンソール4は、LAN1の管理やメンテナンス等に用いる監視装置であり、以下に列挙するような本発明特有の各種機能や構成要素を有している。
(a)端末収容装置2から通知された当該端末のアドレス情報に基づき、端末収容装置2における上記アドレス登録停止機能および上記パケット破棄機能を有効または無効とする有効無効指令機能(この機能は、SNMPによって実現してもよい)
(b)LAN1への接続権限を有する端末のアドレス情報を格納したアドレス情報リスト(図示せず)
(c)端末収容装置2から受信した当該端末のアドレス情報がアドレス情報リストに格納されているか否かを検索する検索機能
(d)当該端末のアドレス情報がアドレス情報リストに格納されている場合は端末収容装置2に当該端末のアドレス情報のアドレステーブル2aへの登録許可を指示し端末のアドレス情報がアドレス情報リストに格納されていない場合は端末収容装置2に当該端末のアドレス情報のアドレステーブル2aへの登録不許可を指示する登録許可不許可指示機能
The maintenance console 4 is a monitoring device used for management and maintenance of the
(A) On the basis of the address information of the terminal notified from the terminal
(B) Address information list (not shown) storing address information of terminals having authority to connect to
(C) Search function for searching whether the address information of the terminal received from the terminal
上記第1実施形態では、端末収容装置2を用いて、オペレータが(1)アドレス登録停止機能および(2)パケット破棄機能の有効/無効の設定を含む各種操作を行うようにしているが、本実施形態では、オペレータが保守コンソール4経由で端末収容装置2に対して上記指令等を送出するようにシステム構成を変更している。そのため、上述した第1実施形態の図2〜図5における処理は、以下のように変更されることになる。
(イ)図2のステップS1、図4のステップS21および図5のステップS31は、オペレータによる保守コンソール4経由の指令によって実施される。
(ロ)図3のステップS12の「当該パケットの送り元アドレス(SA)がアドレステーブル2aに登録されているか否かの検索」は、「アドレステーブル2aの代わりに保守コンソール4のアドレス情報リストを用いて実施される。
(ハ)図3のステップS16の「当該パケットの送り元アドレス(SA)およびポート番号のアドレステーブル2aへの登録」は、当該端末のアドレス情報が保守コンソール4のアドレス情報リストに格納されている場合に発せられる「アドレステーブル2aへの登録許可指令」を端末収容装置2が受信した場合に実施される。
In the first embodiment, the terminal
(A) Step S1 in FIG. 2, step S21 in FIG. 4, and step S31 in FIG. 5 are performed by a command from the operator via the maintenance console 4.
(B) “Search whether or not the source address (SA) of the packet is registered in the address table 2a” in step S12 of FIG. 3 is performed by using the address information list of the maintenance console 4 instead of the address table 2a. Implemented.
(C) “Register the source address (SA) and port number of the packet in the address table 2a” in step S16 in FIG. 3 stores the address information of the terminal in the address information list of the maintenance console 4. This is performed when the terminal
本実施形態のLANへの不正アクセス防止方式によれば、上記第1実施形態と同様の効果が得られる上に、以下の効果が得られる。すなわち、端末収容装置2に対して上位端末収容装置および下位端末収容装置を設けて複数段の端末収容装置によって構築した比較的大規模なLANシステムにおいて、同時に複数の端末収容装置において端末の増設作業を行う場合には、オペレータは、保守コンソール4において同時に複数の端末収容装置に対する指令等の操作を行うことができるので、オペレータの負担を大幅に軽減することができるようになる。
According to the method of preventing unauthorized access to the LAN of this embodiment, the same effects as the first embodiment can be obtained, and the following effects can be obtained. That is, in a relatively large-scale LAN system constructed with a plurality of terminal accommodating devices by providing an upper terminal accommodating device and a lower terminal accommodating device with respect to the terminal
1 LAN(IPサブネットワーク)
2 端末収容装置
3 端末
3−1,3−2 LAN1への接続権限を有する端末
3−3 LAN1への接続権限を有していない端末
4 保守コンソール(監視装置)
1 LAN (IP subnetwork)
2
Claims (12)
前記端末収容装置は、端末のアドレス情報の前記アドレステーブルへの登録を停止するアドレス登録停止機能と、前記アドレステーブルに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能とを具備することを特徴とするLANへの不正アクセス防止方式。 A method for preventing unauthorized access to a LAN comprising a terminal accommodating device installed on a LAN and at least one terminal connected to the terminal accommodating device,
The terminal accommodating apparatus, when receiving a packet having an address registration stop function for stopping registration of address information of a terminal in the address table and a packet having address information not registered in the address table, discards the packet A method of preventing unauthorized access to a LAN, comprising a discard function.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005143565A JP2006324723A (en) | 2005-05-17 | 2005-05-17 | System for preventing unauthorized access to lan |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005143565A JP2006324723A (en) | 2005-05-17 | 2005-05-17 | System for preventing unauthorized access to lan |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006324723A true JP2006324723A (en) | 2006-11-30 |
Family
ID=37544107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005143565A Pending JP2006324723A (en) | 2005-05-17 | 2005-05-17 | System for preventing unauthorized access to lan |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006324723A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009008076A1 (en) * | 2007-07-11 | 2009-01-15 | Fujitsu Limited | Authentication system, terminal authentication apparatus, and authentication process program |
| JP2009118116A (en) * | 2007-11-06 | 2009-05-28 | Sumitomo Electric Ind Ltd | Station side device of pon system and frame processing method |
| WO2012014931A1 (en) * | 2010-07-27 | 2012-02-02 | パナソニック株式会社 | Communications control device, communications system, and program |
| CN108156092A (en) * | 2017-12-05 | 2018-06-12 | 杭州迪普科技股份有限公司 | message transmission control method and device |
| JP2019041369A (en) * | 2017-08-25 | 2019-03-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Communication protection device, control method, and program |
| JP2019080310A (en) * | 2017-09-29 | 2019-05-23 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Enhanced Smart Process Control Switch Port Lockdown |
| US11606334B2 (en) | 2017-08-25 | 2023-03-14 | Panasonic Intellectual Property Corporation Of America | Communication security apparatus, control method, and storage medium storing a program |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09191316A (en) * | 1996-01-10 | 1997-07-22 | Toshiba Corp | Concentrator |
| JPH1155302A (en) * | 1997-08-05 | 1999-02-26 | Hitachi Cable Ltd | Switching hub |
| JP2002141916A (en) * | 2000-10-31 | 2002-05-17 | Hitachi Cable Ltd | Network management system, and network repeater and network management device used for the system |
| JP2003060659A (en) * | 2001-08-09 | 2003-02-28 | Fujikura Ltd | Mac(media access control) bridge |
| WO2005036831A1 (en) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | Frame relay device |
-
2005
- 2005-05-17 JP JP2005143565A patent/JP2006324723A/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09191316A (en) * | 1996-01-10 | 1997-07-22 | Toshiba Corp | Concentrator |
| JPH1155302A (en) * | 1997-08-05 | 1999-02-26 | Hitachi Cable Ltd | Switching hub |
| JP2002141916A (en) * | 2000-10-31 | 2002-05-17 | Hitachi Cable Ltd | Network management system, and network repeater and network management device used for the system |
| JP2003060659A (en) * | 2001-08-09 | 2003-02-28 | Fujikura Ltd | Mac(media access control) bridge |
| WO2005036831A1 (en) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | Frame relay device |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5018883B2 (en) * | 2007-07-11 | 2012-09-05 | 富士通株式会社 | Authentication system, terminal authentication device, and authentication processing program |
| WO2009008076A1 (en) * | 2007-07-11 | 2009-01-15 | Fujitsu Limited | Authentication system, terminal authentication apparatus, and authentication process program |
| US8312513B2 (en) | 2007-07-11 | 2012-11-13 | Fujitsu Limited | Authentication system and terminal authentication apparatus |
| JP2009118116A (en) * | 2007-11-06 | 2009-05-28 | Sumitomo Electric Ind Ltd | Station side device of pon system and frame processing method |
| US9100433B2 (en) | 2010-07-27 | 2015-08-04 | Panasonic Intellectual Property Management Co., Ltd. | Communications control device, communications system, and program |
| CN103026685A (en) * | 2010-07-27 | 2013-04-03 | 松下电器产业株式会社 | Nications control device, communications system, and program |
| EP2600567A4 (en) * | 2010-07-27 | 2015-06-10 | Panasonic Ip Man Co Ltd | Communications control device, communications system, and program |
| WO2012014931A1 (en) * | 2010-07-27 | 2012-02-02 | パナソニック株式会社 | Communications control device, communications system, and program |
| JP2012029222A (en) * | 2010-07-27 | 2012-02-09 | Panasonic Electric Works Co Ltd | Communication control device, communication system and program |
| JP7045247B2 (en) | 2017-08-25 | 2022-03-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Communication protection device, control method, and program |
| US11606334B2 (en) | 2017-08-25 | 2023-03-14 | Panasonic Intellectual Property Corporation Of America | Communication security apparatus, control method, and storage medium storing a program |
| JP2019041369A (en) * | 2017-08-25 | 2019-03-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Communication protection device, control method, and program |
| JP2019080310A (en) * | 2017-09-29 | 2019-05-23 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Enhanced Smart Process Control Switch Port Lockdown |
| JP2019092149A (en) * | 2017-09-29 | 2019-06-13 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Poisoning protection for process control switches |
| US11595396B2 (en) | 2017-09-29 | 2023-02-28 | Fisher-Rosemount Systems, Inc. | Enhanced smart process control switch port lockdown |
| JP7414391B2 (en) | 2017-09-29 | 2024-01-16 | フィッシャー-ローズマウント システムズ,インコーポレイテッド | Enhanced smart process control switch port lockdown |
| JP7534067B2 (en) | 2017-09-29 | 2024-08-14 | フィッシャー-ローズマウント システムズ,インコーポレイテッド | Preventing poisoning in process control switches |
| CN108156092A (en) * | 2017-12-05 | 2018-06-12 | 杭州迪普科技股份有限公司 | message transmission control method and device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
| Nayak et al. | Resonance: Dynamic access control for enterprise networks | |
| US8707395B2 (en) | Technique for providing secure network access | |
| US7558266B2 (en) | System and method for restricting network access using forwarding databases | |
| US9071611B2 (en) | Integration of network admission control functions in network access devices | |
| JP2006324723A (en) | System for preventing unauthorized access to lan | |
| US8209529B2 (en) | Authentication system, network line concentrator, authentication method and authentication program | |
| WO2014043032A1 (en) | System and method for routing selected network traffic to a remote network security device in a network environment | |
| JP2014147120A (en) | Control device, control method and communication system | |
| US9319276B2 (en) | Client modeling in a forwarding plane | |
| US20150295936A1 (en) | Get vpn group member registration | |
| US10382444B2 (en) | Device blocking tool | |
| JP6616733B2 (en) | Network system and server device | |
| US11102172B2 (en) | Transfer apparatus | |
| CN102014174B (en) | Network access method and network equipment | |
| JP2010187314A (en) | Network relay apparatus with authentication function, and terminal authentication method employing the same | |
| Cisco | Configuring IP Permit List | |
| JP2008283495A (en) | System and method for packet transfer | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring the IP Permit List |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070613 |
|
| A621 | Written request for application examination |
Effective date: 20080304 Free format text: JAPANESE INTERMEDIATE CODE: A621 |
|
| A977 | Report on retrieval |
Effective date: 20100618 Free format text: JAPANESE INTERMEDIATE CODE: A971007 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101109 |